Datum Diarienr
2012-09-12 1612-2011
Nordea Bank AB Björn Möller 105 71 Stockholm
Tillsyn enligt personuppgiftslagen (1998:204) – bankers användning av s.k. appar
Datainspektionens beslut
Datainspektionen konstaterar att Nordea Bank AB inte uppfyller sin skyldig- het att självmant informera de registrerade om behandlingen av deras person- uppgifter enligt 23-25 §§ personuppgiftslagen.
Datainspektionen konstaterar vidare att Nordea Bank AB inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen genom att man i samband med användande av så kallade appar kommer åt integritetskänsliga personuppgifter efter autentisering med enbart användarnamn och lösenord.
Datainspektionen förelägger Nordea Bank AB att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan. I åtgärdsplanen ska banken re- dogöra för
a) vilka konkreta åtgärder banken avser att vidta för att uppfylla sin skyldig- het att självmant informera de registrerade enligt 23-25 §§ personupp- giftslagen,
b) vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen,
c) på vilka grunder banken bedömer att åtgärderna under b) är verknings- fulla och tillräckliga samt
d) när åtgärderna under a) respektive b) kan vara vidtagna.
Redogörelse för tillsynsärendet
Med de senaste årens ökning av s.k. smarta telefoner har användningen av program, s.k. appar, som kan laddas ner till dessa telefoner ökat explosionsar- tat. För att få ökad kunskap kring denna företeelse och på vilket sätt använd- ningen av appar kan påverka den personliga integriteten inledde Datainspek- tionen ett projekt. Inom ramen för projektet har behandlingen av personupp-
gifter och säkerheten för personuppgifterna i appar för mobiltelefoner med operativsystemen iOS från Apple (iPhone) och Android från Google granskats genom inspektioner hos tre banker.
Vid inspektionen hos Nordea Bank AB (nedan Nordea) och i den efterföljande kommunikationen har i huvudsak följande framkommit.
Nordeas appar är tillgängliga för alla. Det är bara på användarens initia- tiv som appen kan startas och användas. Appen kan inte fjärrstyras.
Nordea har ingen möjlighet att bereda sig åtkomst till några person- uppgifter i användarens app eller telefon. Ingen annan aktör kan få till- gång till personuppgifter genom appen. Appen har sin egen ”sandlåda”
och informationen i appen kan inte spridas till andra appar.
Utan inloggning kan användaren kontakta banken per telefon, se aktu- ella aktiekurser och konvertera valutor. Nordea behandlar den anropan- de appens IP-adress endast för att kunna lämna den begärda informa- tionen till appen. IP-adressen loggas inte.
Användaren kan också göra spar- respektive lånekalkyler utan inlogg- ning. Användaren matar själv in de uppgifter som denne vill använda i beräkningarna. Senast genomförda beräkningen sparas i lokalt iPhone- appen. Det sker ingen kommunikation med Nordea inom ramen för dessa funktioner.
Härutöver finns en funktion för låneanteckningar där användaren kan föra in uppgifter om vem man är skyldig och vem man lånat ut till.
Funktionen är kopplad till användarens kontaktlista på så sätt att an- vändaren kan välja att hämta namnen på personer som man är skyldig respektive lånar ut till från kontaktlistan för att föra in dessa i lånean- teckningarna. Anteckningarna sparas endast i appen. Det sker ingen kommunikation med Nordea inom ramen för denna funktion.
För att logga in i Nordeas mobilbank eller telefonbank krävs att använ- daren är kund hos Nordea. Användaren loggar in i internetbanken med hjälp av sitt personnummer och sin personliga kod. Inloggningen är in- byggd i själva appen. I Android-appen har användaren möjlighet att väl- ja att spara sitt personnummer i samband med inloggningen. Samma funktion kommer att läggas till i iPhone-appen. När användaren väl är inloggad i Nordeas internetbank används inte själva appen längre.
Kommunikationen sker då med Nordeas servrar.
Den personliga koden består av fyra siffror och är förbestämd av ban- ken. Nordea distribuerar koden antingen via ett förseglat kuvert hos ett bankkontor eller genom att skicka hem koden till användaren i ett sä-
kerhetskuvert. Om användaren glömmer bort koden eller annars vill ha en ny kod kan användaren beställa en ny via ett bankkontor eller över telefon. Användaren kan inte själv välja kod.
När användaren har loggat in med personnummer och personlig kod kan denne se konton, kontonummer, saldo, disponibelt belopp, konto- och korttransaktioner (innehållande datum, namn och belopp), datum och belopp på kommande betalningar, aviserade betalningar (förhands- aviserade autogiron), datum och belopp på e-fakturor, aktie- och fond- innehav, kommande aktieaffärer (orderstatus) samt uppgifter om tagna lån, pensions- och kapitalförsäkringar.
För att genomföra andra transaktioner krävs inloggning med person- numret, den personliga koden samt ett kort, en kortläsare och pinkoden till kortet.
I samband med användning av mobilbanken loggas IP-adresser för att användas vid utredning av brottsliga attacker och incidenter. Uppgifter- na används dock endast vid förfrågan från rättsvårdande myndigheter.
De loggar som innehåller IP-adresser sparas vanligtvis i 13 månader. En- dast personal med affärsmässigt behov av tillgång till loggarna har så- dan tillgång.
Följande behörigheter (API:er) är påkopplade i Nordeas appar:
”Fullständig internetåtkomst” – Internetåtkomst är en förutsättning för att kunna använda vissa av apparnas funktioner.
”Läsa kontaktinformation” – används för att användaren ska kunna använda sin kontaktlista i telefonen i funktionen låneanteckningar enligt ovan.
På Nordeas webbplats, Android Market och App Store finns likalydande information om behandlingen av personuppgifter. Nordea avser att se över texten för att göra den tydligare.
Information om vilka behörigheter som är påkopplade i appen finns på Android Market och syns i telefonen vid nedladdning därifrån. I själva appen finns det ingen information om personuppgiftsbehandlingen.
Nordeas avsikt är att sådan information ska finnas i framtida appar.
Datainspektionen har tagit del av den information om behandling av person- uppgifter som Nordea har presenterat.
Efter att ha analyserat bankernas behandling av personuppgifter i sina appar övervägde Datainspektionen att kräva att bankerna använder sig av s.k. stark autentisering vid inloggningen via apparna. Myndigheten insåg att de beslut
som man avsåg att fatta kan få konsekvenser för många banker, och inte bara de banker som besluten riktar sig mot, och att säkerhetskraven som man hade för avsikt att ställa även skulle komma att gälla annan motsvarande kommu- nikation med banker som sker över Internet. Av den anledningen gav myn- digheten de banker som är föremål för tillsynen och Svenska Bankföreningen möjlighet att ta del av utkasten till beslut och med Datainspektionen diskute- ra den fortsatta hanteringen. Bankerna och Bankföreningen argumenterade mot stark autentisering och lyfte fram att det kan finnas andra alternativ för att stärka säkerheten vid autentiseringen av användarna.
Eftersom flera av bankerna bedriver verksamhet även i andra nordiska länder inledde Datainspektionen ett samrådsförfarande med de andra nordiska data- skyddsmyndigheterna kring frågan om det är rimligt att ställa krav på stark autentisering då kunden loggar in via sin banks app. Ingen av dataskydds- myndigheterna motsatte sig de utkast till beslut som Datainspektionen pre- senterade. Den norska myndigheten har uppgett att även den anser att de au- tentiseringsmetoder som de inspekterade bankerna använder inte uppfyller säkerhetskraven i dataskyddslagstiftningen, eftersom faktorer såsom t.ex. ut- rustnings-ID eller unik installation av appen inte används vid autentiseringen.
Den finska myndigheten har uppgett att bankerna där redan använder stark autentisering i enlighet med där gällande regelverk.
Skäl för beslutet Vad omfattar beslutet?
Det är förstås många olika personuppgifter som behandlas i samband med att banktransaktioner genomförs. Vi har valt att i detta beslut fokusera på be- handlingen av sådana uppgifter som aktualiseras när appar används.
När det gäller IT-säkerheten har vi, utöver det som ovan redogjorts för, grans- kat vidtagna säkerhetsåtgärder bl.a. vid kommunikationen mellan appen och banken samt bankens interna åtkomst till uppgifter. Vi har dock inte funnit något att anmärka på i dessa delar.
Behandlas personuppgifter?
Mot bakgrund av ovan gjord avgränsning har vi att, i denna del, bedöma han- teringen av IP-adresser.
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § personuppgiftslagen).
En IP-adress utgör en personuppgift i de fall någon, t.ex. en Internetleveran- tör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person. (Jfr Kammarrättens i Stockholm dom 2007-06-08 i mål nr 285- 07. Regeringsrätten meddelade inte prövningstillstånd i målet, beslut 2009-
06-16 i mål nr 3978-07.) När det gäller uppgifter som i vissa fall kan hänföras till en individ är det ofta omöjligt att på förhand veta vilka uppgifter som kan hänföras till en individ och vilka uppgifter som inte kan det. Det innebär att alla sådana uppgifter i praktiken bör betraktas som personuppgifter. De IP- adresser som Nordea hanterar är följaktligen att anse som personuppgifter.
Behandling (av personuppgifter) är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, användning, bearbetning och lagring (3 § personuppgiftslagen).
I vissa situationer hanterar Nordea den anropande appens IP-adress endast för att kunna lämna den begärda informationen till appen, utan att logga eller på annat sätt spara den. I andra situationer loggar Nordea IP-adresser för att kunna utreda brottsliga attacker och incidenter.
Till att börja med kan Datainspektionen konstatera att Nordeas loggning av IP-adresser innebär behandling i personuppgiftslagens mening. Även mycket kortvarig hantering är behandling av personuppgifter i personuppgiftslagens mening och därför är även Nordeas hantering av IP-adresser för att kommuni- cera med app-användaren behandling i lagens mening.
Datainspektionen konstaterar således att båda sätten som Nordea hanterar IP- adresser på innebär att Nordea behandlar personuppgifter i personuppgiftsla- gens mening.
Vem är personuppgiftsansvarig?
Den som bestämmer ändamålen med och medlen för behandlingen av per- sonuppgifter är personuppgiftsansvarig (3 § personuppgiftslagen).
Banken saknar möjlighet att bestämma eller förfoga över uppgifter som an- vändaren lägger in lokalt i telefonen eller appen, och som aldrig når banken.
Sådan behandling av personuppgifter kan därför inte anses falla under ban- kens personuppgiftsansvar.
Däremot är banken personuppgiftsansvarig då den samlar in uppgifter via appen, även om det sker på användarens initiativ. Banken har aktivt möjlig- gjort användningen av appen och styr över dess funktioner. Insamlandet får anses påbörjat redan när uppgifterna skickas från appen, trots att banken då ännu inte förfogar över uppgifterna (jfr Högsta förvaltningsdomstolens dom 2012-06-05 i mål nr 4453-10).
Vidare är banken personuppgiftsansvarig får den behandling som banken utför genom att logga IP-adresser.
Detta innebär att Nordea är personuppgiftsansvarig för den behandling av IP- adresser som utförs i samband med kommunikation mellan apparna och banken och den behandling av IP-adresser som utförs genom loggning.
Vilka regler i personuppgiftslagen är tillämpliga?
Personuppgiftslagen gäller behandling av personuppgifter som helt eller del- vis är automatiserad (5 § första stycket). Vilka regler i personuppgiftslagen som är tillämpliga beror på hur materialet har strukturerats. Har materialet strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är de s.k. hanteringsreglerna tillämpliga. Om materialet är ostrukturerat, är i stället den s.k. missbruksregeln tillämplig (5 a § första stycket).
Till att börja med kan Datainspektionen konstatera att båda de typer av be- handlingar av IP-adresser som Nordea utför och är ansvariga för är automati- serade, och att de således omfattas av personuppgiftslagen.
Datainspektionen kan vidare konstatera att den kortvariga behandling av IP- adresser som utförs i samband med kommunikationen mellan apparna och banken inte har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I den situationen är således missbruks- regeln tillämplig.
Sådana tekniska loggar av t.ex. IP-adresser som Nordea använder är typiskt sett strukturerade på ett sådant sätt att hanteringsreglerna är tillämpliga. Det torde vidare krävas att materialet har en personuppgiftsanknuten struktur för att överhuvudtaget kunna användas för sitt syfte – att utreda brottsliga attack- er och incidenter. Mot denna bakgrund utgår Datainspektionen från att han- teringsreglerna är tillämpliga på Nordeas loggning av IP-adresser.
Är behandlingen tillåten?
Missbruksregeln
När det gäller Nordeas kortvariga behandling av IP-adresser i samband med kommunikationen mellan apparna och banken är alltså missbruksregeln till- lämplig.
Enligt missbruksregeln får behandlingen inte utföras om den innebär en kränkning av den registrerades personliga integritet (5 a § andra stycket).
Vad som är en kränkning måste bedömas med hjälp av en avvägning i det en- skilda fallet, där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Avvägningen görs utifrån bl.a. vilka uppgifter som behandlas, i vilket sammanhang uppgifterna förekommer, för vilket syfte
de behandlas, vilken spridning de har fått eller riskerar att få samt vad be- handlingen kan leda till.
I detta fall behandlas IP-adresser och det kan sägas ske på användarens (den registrerades) initiativ. Behandlingen begränsas till vad som är nödvändigt för att kunna leverera det som användaren begärt och sparas inte därefter.
Vid en samlad bedömning finner Datainspektionen att Nordeas behandling av IP-adresser i samband med kommunikationen mellan apparna och banken är förenlig med personuppgiftslagen.
Hanteringsreglerna
När det gäller frågan om Nordeas behandling av IP-adresser i form av logg- ning är tillåten är hanteringsreglerna i personuppgiftslagen tillämpliga.
I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka situa- tioner det är tillåtet att behandla personuppgifter. Som huvudregel får per- sonuppgifter bara behandlas om den registrerade har samtyckt till behand- lingen. Från denna huvudregel finns en rad undantag. T.ex. får personuppgif- ter behandlas om det är nödvändigt för att uppfylla ett avtal med den registre- rade eller efter en s.k. intresseavvägning.
Datainspektionen kan inte finna att någon annan rättslig grund än intresseav- vägningen är aktuell att tillämpa på Nordeas behandling av personuppgifter genom loggning av IP-adresser.
Intresseavvägningen innebär att behandlingen är tillåten om den är nödvän- dig för ett ändamål som rör ett berättigat intresse hos den personuppgiftsan- svarige, eller hos en sådan tredje man till vilken personuppgifterna lämnas ut, ska kunna tillgodoses, förutsatt att detta intresse väger tyngre än den registre- rades intresse av skydd mot kränkning av den personliga integriteten. För att avgöra detta måste man göra en helhetsbedömning av samtliga omständighe- ter i det enskilda fallet, t.ex. syftet med behandlingen, vilka slag av person- uppgifter som behandlas, på vilket sätt uppgifterna behandlas, spridningen av uppgifterna, säkerheten för uppgifterna, gallringsrutiner och vilken informa- tion de registrerade får.
Nordea loggar IP-adresser i syfte att kunna utreda brottsliga attacker och inci- denter. Logguppgifterna används endast vid förfrågan från rättsvårdande myndigheter och sparas vanligtvis i 13 månader. Endast personal med affärs- mässigt behov av tillgång till loggarna har sådan tillgång. De registrerade får ingen information om att IP-adresser loggas.
Efter en samlad bedömning av omständigheterna i detta fall finner Datain- spektionen att Nordeas behandling är tillåten enligt personuppgiftslagen.
Får de registrerade tillräcklig information?
Inledningsvis vill Datainspektionen påminna om att informationsplikten gäll- er först då hanteringsreglerna är tillämpliga. Det innebär att frågan i detta fall blir om Nordea har lämnat tillräcklig information om sin behandling av per- sonuppgifter i form av loggning av IP-adresser.
Om uppgifter om en person samlas in från personen själv, ska den person- uppgiftsansvarige i samband därmed självmant lämna den registrerade in- formation om behandlingen av uppgifterna (23 § personuppgiftslagen). Såda- na elektroniska spår, t.ex. IP-adresser, som uppkommer vid den registrerades användning av datanätverk anses ha samlats in från den registrerade själv.
Information ska omfatta uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som be- hövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyl- dighet att lämna uppgifter och rätten att ansöka om information och få rättel- se (25 § personuppgiftslagen). Information behöver dock inte lämnas om så- dant som den registrerade redan känner till.
Nordea lämnar ingen information till appanvändarna om att IP-adresser log- gas. De registrerade kan inte förutsättas känna till att IP-adresser loggas i samband med att appar används. Därmed föreligger inget undantag från in- formationsskyldigheten. Datainspektionen kan således konstatera att Nordea inte uppfyller sin informationsplikt enligt personuppgiftslagen.
Nordea har uttalat att man avser att se över informationstexten om behand- ling av personuppgifter i Nordeas applikationer.
Datainspektionen förelägger därför Nordea att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att uppfylla sin skyldighet att självmant informera de registrerade enligt 23-25 §§ personuppgiftslagen och när åtgärderna kan vara vidtagna.
Har tillräckliga säkerhetsåtgärder vidtagits?
Av 31 § personuppgiftslagen följer att den personuppgiftsansvarige är skyldig att vidta säkerhetsåtgärder, såväl tekniska som organisatoriska, för att skydda de personuppgifter som behandlas. För att skapa ett lämpligt skydd för per- sonuppgifterna gäller det att göra en samlad bedömning som tar hänsyn till hur pass känsliga de behandlade personuppgifterna är, riskerna som finns med behandlingen av personuppgifterna, de tekniska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna.
Genom att logga in i appen med hjälp av sitt personnummer och en fyrsiffrig servicekod kan den som är kund i Nordeas mobilbank se följande över ett öp- pet nät.
Konton
Kontonummer
Saldo
Disponibelt belopp
Konto- och korttransaktioner (innehållande datum, namn och be- lopp)
Datum och belopp på kommande betalningar
Aviserade betalningar (förhandsaviserade autogiron)
Datum och belopp på e-fakturor
Aktie- och fondinnehav
Kommande aktieaffärer (orderstatus)
Uppgifter om tagna lån
Pensions- och kapitalförsäkringar
Enligt Datainspektionens allmänna råd är uppgifter om enskildas personliga och ekonomiska förhållanden inom bankväsendet normalt att anse som in- tegritetskänsliga. Ett uttryck för att det är fråga om integritetskänsliga uppgif- ter är att uppgifterna omfattas av sekretess.
Särskilt med tanke på att appar ofta används på offentliga platser finns en ökad risk för att någon obehörig lyckas komma åt inloggningsuppgifterna.
Denne skulle därefter, genom att enkelt ladda ner bankens app till sin egen smarta telefon, kunna logga in i appen och obehörigen ta del av en stor mängd uppgifter, utan att den behörige användaren märker det.
Datainspektionen anser att det kan medföra stora risker för den enskildes personliga integritet om någon obehörig får tillgång till t.ex. uppgifter om konton, transaktioner med namn på mottagaren eller avsändaren och skuld- sättning. Uppgifterna skulle kunna användas till att kartlägga, inte bara stora delar av en persons ekonomiska förhållanden, utan även var denne har befun- nit sig och dennes inköpsvanor. Uppgifterna om transaktioner kan dessutom innehålla känsliga uppgifter i personuppgiftslagens mening, t.ex. genom att avslöja den enskildes vårdgivare.
Risken för dataintrång är betydligt högre om man använder sig av enbart lö- senord för autentisering, än om man utöver lösenord använder sig av ytterli- gare någon faktor vid autentiseringen. Den ökade risken beror på att det är lättare att komma åt enbart ett lösenord, än att skaffa sig åtkomst till exem- pelvis både någons bankkort eller smarta telefon och lösenordet. Dessutom är det lättare för en användare att upptäcka att man har blivit av med till exem-
pel sitt bankkort eller sin smarta telefon, än att någon obehörig har lyckats avslöja lösenordet.
Inom bankväsendet används redan idag lösningar som e-legitimation, koddo- sor och engångslösenord. Det talar för att kostnaden för att införa en starkare autentiseringslösning inte skulle behöva bli orimligt hög.
Vid en samlad bedömning av hur pass känsliga de behandlade personuppgif- terna är, riskerna som finns med behandlingen av personuppgifterna, de tek- niska möjligheter som finns tillgängliga på marknaden samt vad det kostar att genomföra åtgärderna finner Datainspektionen att den autentiseringslösning som Nordea för närvarande använder i sin app inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen.
Datainspektionen förelägger därför Nordea att senast den 21 december 2012 komma in med en skriftlig åtgärdsplan, i vilken man ska redogöra för vilka konkreta åtgärder banken avser att vidta för att leva upp till kraven på säker- hetsåtgärder enligt 31 § personuppgiftslagen, på vilka grunder banken bedö- mer att åtgärderna är verkningsfulla och tillräckliga samt när åtgärderna kan vara vidtagna.
Hur man överklagar
Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skri- velsen vilket beslut som överklagas och den ändring som ni begär. Inspektio- nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.
_____________________________
Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Catharina Fernquist, ju- risten Malin Fredholm och IT-säkerhetsspecialisten Adolf Slama, föredragan- de.
Göran Gräslund Adolf Slama
